Platypus 一种集中式的央行数字货币方案

集中式的CBDC,混合使用账户模型和UTXO模型。

角色分类

image.png
中央银行:发行货币,交易验证,公开交易日志,防止双花。

  • 不是完全受信任的,假定为会遵守监管要求,但可能会破坏交易隐私,即获取交易信息(交易价值以及交易双方信息)。
  • 持有公私钥对 ( s k C , p k C ) (sk_C,pk_C) (skC,pkC),用于签名用户账户状态承诺。

监管者:发行证书,执行监管需求,如AML(反洗钱)。
用户:作为交易双方,维护自己的账户状态。

  • 持有公私钥对 ( s k U , p k U ) (sk_U,pk_U) (skU,pkU)

基本交易流程

image.png
账户由三部分组成,账户状态 s t a t e i state_i statei,金额 b a l i bal_i bali,序列号 s e r i a l i serial_i seriali
假设交易双方为A、B

  1. Transaction Initiation:发送方A更新自己账户,并发送一共6部分内容,
    1. v T x v_{Tx} vTx:交易金额。
    2. b l i n d T x blind_{Tx} blindTx:随机盲因子,用于生成承诺。
    3. c o m m T x comm_{Tx} commTx:交易承诺, c o m m T x = c o m m ( v T x , b l i n d T x ) comm_{Tx}=comm(v_{Tx},blind_{Tx}) commTx=comm(vTx,blindTx)
    4. s e r i a l i A serial_i^A serialiA:旧状态的序列号。
    5. s t a t e i + 1 A state_{i+1}^A statei+1A:新账户状态,基于以前的账户状态,通过伪随机生成的序列号 s e r i a l i + 1 A serial_{i+1}^A seriali+1A和新的账户余额 b a l i + 1 A = b a l i A − v T x bal_{i+1}^A=bal^A_i-v_{Tx} bali+1A=baliAvTx生成。
    6. z k p i + 1 A zkp_{i+1}^A zkpi+1A:零知识证明,证明自己完全遵循上述步骤。
  2. Transaction Completion:接收方B更新自己账户,拿到信息后,和A一样计算自己的新账户状态,和相应的零知识证明,证明自己账户遵循合理步骤,账户相比之前的状态正好增加了对应金额。然后发送以下给央行。
  3. c o m m T x comm_{Tx} commTx:交易承诺。
  4. ( s e r i a l i A , s e r i a l i B ) (serial_i^A,serial_i^B) (serialiA,serialiB:交易双方的旧帐户序列号。
  5. ( s t a t e i + 1 A , s t a t e i + 1 B ) (state_{i+1}^A,state_{i+1}^B) (statei+1A,statei+1B):交易双方的新账户状态。
  6. ( z k p i + 1 A , z k p i + 1 B ) (zkp_{i+1}^A,zkp_{i+1}^B) (zkpi+1A,zkpi+1B):交易双方的零知识证明。
  7. Transaction Execution:央行首先验证双方零知识证明,然后检验两个旧帐户序列号是否出现在之前的交易中,没有出现则添加到已使用记录中,然后对两个用户状态签名得到 ( σ i + 1 A , σ i + 1 B ) (\sigma_{i+1}^A,\sigma_{i+1}^B) (σi+1A,σi+1B)
  8. Payment Acceptance:B验证签名是否有效,有效则接受此交易更新账户信息,然后转发 σ i + 1 A \sigma_{i+1}^A σi+1A给A。
  9. Payment Completion:验证签名并更新账户信息。

此外,为了防止B不发送签名给A,央行会同时发布从B收到的所有信息以及自己对新账户的签名,用于A通过自己的序列号找到自己的交易信息并接受。

基础协议流程

CRS(Common Reference String)在CDBC背景下是成立的,此背景默认Central Bank为trusted,无需其他假设。
设定一个监管者,一个央行,两个用户。

初始化

央行

  1. 创建自己密钥对 ( s k C , p k C ) (sk_C,pk_C) (skC,pkC),并公开公钥。
  2. 设置金额最大值 b a l m a x bal_{max} balmax,防止溢出

用户注册

用户

  1. 生成私钥 s k U = ( s k U 1 , s k U 2 ) sk_U = (sk_{U1},sk_{U2}) skU=(skU1,skU2),用于伪随机生成序列号 s e r i a l 1 U serial^U_1 serial1U和盲因子 b l i n d 1 U blind^U_1 blind1U
  2. 生成新的状态承诺 s t a t e 1 U = ( s e r i a l 1 U , b a l 1 U , b l i n d 1 U ) state^U_1=(serial^U_1,bal^U_1,blind^U_1) state1U=(serial1U,bal1U,blind1U)
  3. 生成零知识证明 z k p 1 U zkp^U_1 zkp1U,证明自己的状态承诺中的 b a l 1 U = 0 bal^U_1=0 bal1U=0
  4. 发送 ( s t a t e 1 U , z k p 1 U ) (state^U_1,zkp^U_1) (state1U,zkp1U)给央行。

央行

  1. 验证,对账户签名,然后发送签名 σ 1 U \sigma_{1}^U σ1U给用户。

交易

假设交易双方为A, B。那么双方的当前的账户为
s t a t e i A = ( s e r i a l i A , b a l i A , b l i n d i A ) state^A_i=(serial^A_i,bal^A_i,blind^A_i) stateiA=(serialiA,baliA,blindiA)
s t a t e j B = ( s e r i a l j B , b a l j B , b l i n d j B ) state^B_j=(serial^B_j,bal^B_j,blind^B_j) statejB=(serialjB,baljB,blindjB)
双方都拥有当前账户的签名
σ i A = S i g n ( s k C , s t a t e i A ) \sigma_{i}^A=Sign(sk_C,state^A_i) σiA=Sign(skC,stateiA)
σ j B = S i g n ( s k C , s t a t e j B ) \sigma_{j}^B=Sign(sk_C,state^B_j) σjB=Sign(skC,statejB)

  1. Transaction Initiation

发送方A

  1. 确定交易金额 v T x v_{Tx} vTx,选择随机数 b l i n d T x blind_{Tx} blindTx,并创建承诺 c o m m T x = c o m m ( v T x , b l i n d T x ) comm_{Tx}=comm(v_{Tx},blind_{Tx}) commTx=comm(vTx,blindTx)
  2. 生成新的序列号和盲因子,然后创建新的账户承诺 s t a t e i + 1 A = c o m m ( s e r i a l i + 1 A , b a l i A − v T x , b l i n d i + 1 A ) state_{i+1}^A=comm(serial_{i+1}^A,bal^A_i-v_{Tx},blind_{i+1}^A) statei+1A=comm(seriali+1A,baliAvTx,blindi+1A)
  3. 零知识证明,生成proof z k p i + 1 A zkp_{i+1}^A zkpi+1A。证明自己
    1. 旧账户是正确的,即账户和签名能通过验证, T r u e = V r f y ( p k C , c o m m ( s e r i a l i A , b a l i A , b l i n d i A ) , σ i A ) True = Vrfy(pk_C,comm(serial_{i}^A,bal^A_i,blind_{i}^A),\sigma_{i}^A) True=Vrfy(pkC,comm(serialiA,baliA,blindiA),σiA)
    2. 承诺计算正确。
    3. 账户状态更新正确。
    4. 金额没有超过阈值。
    5. 金额更新正确。
    6. 序列号更新正确,即在旧序列号上伪随机产生。
  4. 发送信息 v T x , b l i n d T x , c o m m T x , s e r i a l i A , s t a t e i + 1 A , z k p i + 1 A v_{Tx},blind_{Tx},comm_{Tx},serial_i^A,state_{i+1}^A,zkp_{i+1}^A vTxblindTxcommTxserialiAstatei+1Azkpi+1A给B。

  1. Transaction Completion

接收方B

  1. 生成新的序列号和盲因子,然后创建新的账户承诺 s t a t e j + 1 B = c o m m ( s e r i a l j + 1 B , b a l j B − v T x , b l i n d j + 1 B ) state_{j+1}^B=comm(serial_{j+1}^B,bal^B_j-v_{Tx},blind_{j+1}^B) statej+1B=comm(serialj+1B,baljBvTx,blindj+1B)

  2. 零知识证明,生成proof z k p j + 1 B zkp_{j+1}^B zkpj+1B,和A一样。

  3. 发送信息 c o m m T x , s e r i a l i A , s t a t e i + 1 A , z k p i + 1 A , s e r i a l j B , s t a t e j + 1 B , z k p j + 1 B comm_{Tx},serial_i^A,state_{i+1}^A,zkp_{i+1}^A,serial_j^B,state_{j+1}^B,zkp_{j+1}^B commTxserialiAstatei+1Azkpi+1AserialjBstatej+1Bzkpj+1B给央行

  4. Transaction Execution

央行

  1. 验证零知识证明和序列号是否重复,不通过则拒绝并通知B。
  2. 否则接受交易,存储序列号到已使用列表,对两个更新的新账户进行签名

σ i + 1 A = S i g n ( s k C , s t a t e i + 1 A ) \sigma_{i+1}^A=Sign(sk_C,state^A_{i+1}) σi+1A=Sign(skC,statei+1A)
σ j B = S i g n ( s k C , s t a t e j B ) \sigma_{j}^B=Sign(sk_C,state^B_j) σjB=Sign(skC,statejB)

  1. 发送两个签名给B,公开交易到公开交易日志里,会同时发布从B收到的所有信息以及自己对新账户的签名。

  2. Payment Acceptance

接收方B
检查签名是否有效,有效则存下签名,转发A的签名给A。

  1. Payment Completion

发送方A
检查签名是否有效,有效则存下签名,至此交易完成。

提升方案

看完前面的方案可能会有点懵,监管者呢,提都没提?WTF?好像很多功能都还没有,怎么中止交易,怎么披露信息,怎么标识用户,怎么执行的监管等等好像啥都没说😇。
原文的描述比较模糊,没有将相关信息放入基础方案里面,只给了单独一章用于表述该角色的额外功能,而且一些函数只给了一个粗浅的定义,并没提具体实施(咱也不知道为啥,可能是想表现可扩展性高?这就是不给源码的原因吗?)

新增角色

监管者
定义为能执行一些监管规则。

  • 持有发行证书密钥对 ( s k R C , p k R C ) (sk_{RC},pk_{RC}) (skRC,pkRC),加密密钥对 ( s k R E , p k R E ) (sk_{RE},pk_{RE}) (skRE,pkRE)

新增步骤

用户注册
增加向监管者注册的步骤,明确身份。

  1. 用私钥计算出公钥作为自己的唯一标识符,标识为 ( p i U , s i U ) (pi_U,si_U) piU,siU
  2. 向监管者注册,并证明自己知道对应的私钥,然后收到监管者签名 σ R U = s i g n ( s k R C , ( p i U , p a r a m s ) ) \sigma^U_R=sign(sk_{RC},(pi_U,params)) σRU=sign(skRC,(piU,params)) p a r a m s params params可以是一些单独不同的规则所需要的参数,如每个用户的不同的持币限制。
  3. 签名以及公共身份会包含在账户承诺中,所以需要证明新旧账户承诺中的身份是一样的。

交易监管

  1. 添加辅助信息说明:在账户状态承诺里新增了辅助信息,用于用户对交易信息的一些说明,同样需要证明,那么新的完全体账户状态承诺就变为

s t a t e i A = ( s e r i a l i A , b a l i A , b l i n d i A , p i U , a u x i U ) state^A_i=(serial^A_i,bal^A_i,blind^A_i,pi_U,aux_i^U) stateiA=(serialiA,baliA,blindiA,piU,auxiU) a u x i U aux_i^U auxiU为辅助信息(可以理解为一些额外的监管规则)
辅助信息在每一笔交易也许会不一样,故需要进行更新,更新函数为updateAux。

  1. 特定条件下的信息披露:新增一个披露函数RegInfo,输入为用户的状态信息,输出为密文信息或者披露信息(特定条件下),如用户身份,余额等信息。当然,要使得披露信息对外不可区分,需要加密,采用监管者公钥加密 p k R E pk_{RE} pkRE,计算密文 E i + 1 U E^U_{i+1} Ei+1U的过程的正确性需要进行证明,密文将作为交易的一部分发送给央行,央行会转发给监管者,监管者可以解密查看。
  2. 额外检查:新增额外检查函数checkOther。

交易零知识证明
增加了这么多信息,那么交易所需要的零知识证明自然需要增加。
以下是完整的需要证明的式子
image.png
红色部分为新增的,即

  1. 拥有合法的身份,即拥有对应身份的私钥
  2. 监管者的签名是有效的。
  3. 额外辅助信息更新正确
  4. 证明自己的计算披露函数和加密过程正确
  5. 额外校验校验也正确

小结

  • 没有交易中止功能,出现密钥丢失,被骗等很难追回。
  • 交易追溯是通过公开日志查询的。
  • 没有提多个监管者的方案。
  • 没有异步交易,离线交易功能。

参考

Wüst, Karl, et al. “Platypus: A central bank digital currency with unlinkable transactions and privacy-preserving regulation.” Proceedings of the 2022 ACM SIGSAC Conference on Computer and Communications Security. 2022.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/780931.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

正弦实时数据库(SinRTDB)的使用(9)-有损压缩

前文已经将正弦实时数据库的使用进行了介绍,需要了解的可以先看下面的博客: 正弦实时数据库(SinRTDB)的安装 正弦实时数据库(SinRTDB)的使用(1)-使用数据发生器写入数据 正弦实时数据库(SinRTDB)的使用(2)-接入OPC DA的数据 正弦实时数据库(SinRTDB)…

MES系统怎么解决车间生产调度难的问题?

MES系统三个层次 1、MES决定了生产什么,何时生产,也就是说它使公司保证按照订单规定日期交付准确的产品; 2、MES决定谁通过什么方式(流程)生产,即通过优化资源配置,最有效运用资源; …

关于SVG格式图片实现室内地图

SVG格式图片 可缩放矢量图形(Scalable Vector Graphics,SVG)基于 XML 标记语言,用于描述二维的矢量图形。 作为一个基于文本的开放网络标准,SVG 能够优雅而简洁地渲染不同大小的图形,并和 CSS、DOM、JavaScript 和 SMIL 等其他网络标准无缝衔接。本质上,SVG 相对于图像…

C++多线程:线程的创建、join、detach、joinable方法(二)

1、线程的开始与结束 程序运行起来,生成一个进程,该进程所持有的主线程开始自动运行,main主线程运行完所有的代码从main函数中返回表示整个进程运行完毕,标志着主线程和进程的死亡,等待操作系统回收资源,因…

Cocos Creator 常见问题记录

目录 问题1、精灵图九宫格,角度不拉伸 问题2、BlockInputEvents 防止透屏 问题1、精灵图九宫格,角度不拉伸 点击编辑,拖拽到可变区域 问题2、BlockInputEvents 防止透屏

【独立开发前线】Vol.26 【独立开发产品】吉光卡片-让你的文字变得酷炫起来

今天给大家分享一下 独立开发前线 社区成员张小吉 的作品 吉光卡片; 这是一款iOS的APP,下载:吉光卡片,主要功能是帮你制作酷炫的文字卡片,用精美的卡片让你的文字生动起来。 展示效果如下: 你可以用它制作…

【公示】2023年度青岛市级科技企业孵化器拟认定名单

根据《青岛市科技企业孵化器管理办法》(青科规〔2023〕1号)(以下简称《管理办法》)、《关于开展2023年度市级科技企业孵化器认定申报工作的通知》,经申报受理、区市推荐、形式审查、专家评审及现场核查等程序&#xff…

【笔记】动⼿学深度学习(花书)|| Aston Zhang Mu Li Zachary C. LiptonAlexander J. Smola

系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 前言 第一章 深度学习简介 第二章 P 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 系列文章目录前言本书…

BasicVSR++模型转JIT并用c++libtorch推理

BasicVSR模型转JIT并用clibtorch推理 文章目录 BasicVSR模型转JIT并用clibtorch推理安装BasicVSR 环境1.下载源码2. 新建一个conda环境3. 安装pytorch4. 安装 mim 和 mmcv-full5. 安装 mmedit6. 下载模型文件7. 测试一下能否正常运行 转换为JIT模型用c libtorch推理效果 安装Ba…

malloc是如何分配内存|malloc(1)分配多大内存|free释放内存,会还给操作系统吗?

前言 大家好, 我jiantaoyab,这篇文章给大家介绍mallo和free面试中常问到的问题。 malloc是如何分配内存的? 如果用户分配的内存小于128KB,则通过brk()申请内存 如果用户分配的内存大于128KB,则通过mmap()申请内存 简…

数据分析之POWER Piovt的KPI设置

内容总结: 1.两个表格关联不上:需要添加辅助列,建立关联 2.添加辅助列后还关联不上:将虚线变为实线 3.根据需求要增加一些度量值 4.设置KPI后,绝对值选1后设定百分比 5.在透视表里面加入KPI状态 导入所关联的数据后建立…

游戏领域AI智能视频剪辑解决方案

游戏行业作为文化创意产业的重要组成部分,其发展和创新速度令人瞩目。然而,随着游戏内容的日益丰富和直播文化的兴起,传统的视频剪辑方式已难以满足玩家和观众日益增长的需求。美摄科技,凭借其在AI智能视频剪辑领域的深厚积累和创…

SQLBolt,一个练习SQL的宝藏网站

知乎上有人问学SQL有什么好的网站,这可太多了。 我之前学习SQL买了本SQL学习指南,把语法从头到尾看了个遍,但仅仅是心里有数的程度,后来进公司大量的写代码跑数,才算真真摸透了SQL,知道怎么调优才能最大化…

SpringBoot登录校验(三)

​​​​​​​SpringBoot 登录认证(一)-CSDN博客 SpringBoot 登录认证(二)-CSDN博客 SpringBoot登录校验(三)-CSDN博客 前面我们介绍了传统的会话跟踪技术cookie和sesstion,本节讲解令牌技术…

Ubuntu20.04LTS+uhd3.15+gnuradio3.8.1源码编译及安装

文章目录 前言一、卸载本地 gnuradio二、安装 UHD 驱动三、编译及安装 gnuradio四、验证 前言 本地 Ubuntu 环境的 gnuradio 是按照官方指导使用 ppa 的方式安装 uhd 和 gnuradio 的,也是最方便的方法,但是存在着一个问题,就是我无法修改底层…

HarmonyOS实战开发-如何实现一个简单的电子相册应用开发

介绍 本篇Codelab介绍了如何实现一个简单的电子相册应用的开发,主要功能包括: 实现首页顶部的轮播效果。实现页面跳转时共享元素的转场动画效果。实现通过手势控制图片的放大、缩小、左右滑动查看细节等效果。 相关概念 Swiper:滑块视图容…

java多线程中的阻塞队列

一、普通不阻塞队列 还记得队列我们如何实现吗?我们用的是循环队列的方式,回一下: 描述:开始tail和head指针都指向最开始位置,往里面添加元素tail,出元素head 初始状态: put元素后状态 take…

账号微服务短信验证码发送工具单元测试

账号微服务短信验证码发送工具单元测试 注意sms的 app-code #----------sms短信配置-------------- sms:app-code: dd7829bedfaf4373875aa91abba82523template-id: JM1000372package net.xdclass.config;import org.springframework.context.annotation.Bean; import org.spri…

ROS 2边学边练(4)-- 何为主题(topics)

概念 主题是一种节点间的通信方式,某个节点充当发布特定(主题)消息(数据)的角色,另外一些节点则可以订阅接收该特定(主题)消息(数据)。两者&#xff0…

在ubuntu上搭建系统监控系统

大纲 数据生产方安装和运行验证 数据收集、存储和分发方下载和解压修改配置运行验证 数据消费方下载和运行验证新增数据源新增看板关联看板和数据源效果展现 参考资料 在一个监控系统中,一定会有“数据生产方”和“数据消费方”存在。“数据生产方”用于产出需要监控…